Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • ESET Deteksi Serangan Ransomware Bad Rabbit
  • Ransomware

ESET Deteksi Serangan Ransomware Bad Rabbit

3 min read

Credit image: Pixabay

Ransomware baru bernama Bad Rabbit mendatangkan malapetaka di banyak negara Eropa Timur, yang mempengaruhi baik badan pemerintah maupun perusahaan swasta.Ransomware telah melanda negara-negara seperti Rusia, Ukraina, Bulgaria, dan Turki.

Korban yang dikonfirmasi termasuk bandara Odessa di Ukraina, sistem kereta bawah tanah Kiev di Ukraina, Kementerian Infrastruktur Ukraina, dan tiga kantor berita Rusia, termasuk Interfax dan Fontanka. Tim CERT Ukraina telah memposting peringatan dan memperingatkan bisnis Ukraina tentang wabah baru ini.

Kecepatan penyebaran Bad Rabbit mirip dengan wabah WannaCry dan NotPetya yang telah terjadi pada bulan Mei dan Juni tahun ini. Karena itu Bad Rabbit ini perlu menjadi perhatian semua negara, agar jangan sampai kecolongan seperti kasus WannaCry.

Pembaruan Flash Palsu

Periset ESET menemukan fakta bahwa Bad Rabbit awalnya menyebar melalui paket pembaruan Flash palsu, namun ransomware juga hadir dengan alat yang membantu bergerak secara lateral di dalam jaringan, yang mungkin menjelaskan mengapa penyebarannya menyebar dengan cepat ke beberapa organisasi dalam waktu yang sangat singkat. .

Dalam laporan kemudian yang diterbitkan data telemetri perusahaan mengungkapkan bahwa ransomware telah menyebar melalui serangan Drive by Download, dan korban diarahkan ke situs web yang menjajakan paket pembaruan Flash palsu dari situs berita yang sah.

Cara Kerja

Berdasarkan analisis oleh ESET, Bad Rabbit yang dideteksi sebagai Win32/Diskcoder.D menggunakan Mimikatz untuk mengambil kredensial dari memori komputer lokal, dan bersamaan dengan daftar kredensial hard code, ia mencoba mengakses server dan workstation di jaringan yang sama melalui SMB. dan WebDAV [1, 2, 3].

Ransomware Bad Rabbit adalah coder disk yang disebut, mirip dengan Petya dan NotPetya. Bad Rabbit pertama mengenkripsi file di komputer pengguna dan kemudian mengganti MBR (Master Boot Record).

Begitu Bad Rabbit telah melakukan tugasnya, ia akan melakukan reboot PC pengguna, yang kemudian menampilkan ransom note. Catatan tebusannya hampir sama dengan yang digunakan Notepetya pada bulan Juni. Meski begitu, hanya ada sedikit kemiripan dengan NotPetya. Ada sekitar 13% kode yang digunakan kembali antara Bad Rabbit dan NotPetya.

Berdasarkan catatan tebusan, ransomware tersebut meminta korban untuk mengakses situs di jaringan Tor dan melakukan pembayaran 0.05 Bitcoin (sekitar $280). Korban memiliki waktu lebih dari 40 jam untuk membayar, jika tidak maka biaya tebusan meningkat.

Ransomware Bad Rabbit tampaknya meniru DiskCryptor, sebuah open source utilitas enkripsi disk diketahui serupa dengan ransomware HDDCryptor yang pernah menyerang layanan transportasi Muni San Francisco awal tahun ini.

Source code Bad Rabbit juga berisi berbagai rujukan Game of Thrones untuk karakter seperti Grayworm. Selain itu, ransomware juga menyiapkan tiga tugas terjadwal yang diberi nama Drogon, Rhaegal, dan Viserion, nama ketiga naga dari Game of Thrones.

Ini bukan ransomware pertama yang hadir dengan referensi Game of Thrones. Salah satu naskah yang digunakan dalam kampanye distribusi Locky juga berisi referensi serupa.

Menyebar Melalui SMB

Win32/Diskcoder.D memiliki kemampuan menyebar melalui SMB. Berlawanan dengan beberapa pendapat. Ransomware ini tidak memanfaatkan kerentanan EthernalBlue seperti Win32/Diskcoder.C (Not-Petya). Bad rabbit memindai jaringan internal mencari SMB share yang terbuka, berikut datanya:

  • admin
  • atsvc
  • browser
  • eventlog
  • lsarpc
  • netlogon
  • ntsvcs
  • spoolss
  • samr
  • srvsvc
  • scerpc
  • svcctl
  • wkssvc

Win32 / Diskcoder.D adalah versi modifikasi dari Win32/Diskcoder.C. Bug dalam enkripsi file sudah diperbaiki. Enkripsi sekarang menggunakan DiskCryptor, perangkat lunak open source yang sah yang digunakan untuk melakukan enkripsi full drive.

Kunci yang dihasilkan menggunakan CryptGenRandom dan kemudian dilindungi oleh kunci publik RSA 2048 hardcoded. File terenkripsi memiliki ekstensi. Terenkripsi. Seperti sebelumnya, AES-128-CBC saya pakai.

Distribusi

Menariknya, telemetri ESET menunjukkan bahwa Ukraina hanya sebesar 12,2% dari jumlah total dari yang terlihat pada komponen dropper. Berikut adalah statistiknya:

  • Rusia: 65%
  • Ukraina: 12,2%
  • Bulgaria: 10.2%
  • Turki: 6,4%
  • Jepang: 3,8%
  • Lainnya: 2,4%

Ini cukup sesuai dengan distribusi situs web yang dikompromikan yang menyertakan JavaScript jahat. Jadi mengapa Ukraina merasa lebih terpukul daripada yang lain?

Menarik untuk dicatat bahwa semua perusahaan besar yang terinfeksi mendapat serangan pada saat bersamaan. Ada kemungkinan kelompok tersebut sudah memiliki kaki di dalam jaringan mereka dan meluncurkan serangan Waterhole pada saat bersamaan sebagai umpan.

Tidak cukup hanya mengatakan bahwa mereka menjadi korban hanya karena “update Flash”. ESET masih menyelidiki dan akan melaporkan temuan pada kesempatan berikutnya.

Info dan pembelian www.tokoeset.com email: eset.sales@eset.co.id

Sumber berita

www.welivesecurity.com

www.bleepingcomputer.com

Tags: BacaPikirshare Bad Rabbit ESET Flash Palsu Ransomware

Continue Reading

Previous: Aplikasi Palsu Perdagangan Mata Uang Kripto di Google Play
Next: Scanner UEFI dalam ESET Versi 11

Related Stories

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
3 min read
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam

June 19, 2025
Bahaya Ransomware Play 900 Organisasi Jadi Korban Bahaya Ransomware Play 900 Organisasi Jadi Korban
3 min read
  • Ransomware

Bahaya Ransomware Play 900 Organisasi Jadi Korban

June 10, 2025
Momok Ransomware Teratas DragonForce Momok Ransomware Teratas DragonForce
4 min read
  • Ransomware

Momok Ransomware Teratas DragonForce

May 6, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.